Referenz zu Microsoft Sentinel-Entitätstypen
Dieses Dokument enthält Informationen zu Entitäten und Entitätstypen in Microsoft Sentinel.
- Die Tabelle Entitätstypen und -bezeichner listet die verschiedenen Typen von Entitäten auf, die in der Entitätszuordnung unter Analyseregeln und Hunting verwendet werden können. Die Tabelle zeigt auch für jeden Entitätstyp die verschiedenen Bezeichner, mit denen eine Entität identifiziert werden kann.
- Der Abschnitt Entitätsschema zeigt die Datenstruktur und das Schema für Entitäten im Allgemeinen und für jeden Entitätstyp im Spezifischen, einschließlich einiger Typen, die nicht im Entitätszuordnungsfeature dargestellt sind.
Entitätstypen und Bezeichner
Die folgende Tabelle zeigt die Entitätstypen, die derzeit für die Zuordnung in Microsoft Sentinel verfügbar sind, und die Attribute, die als Bezeichner für jeden Entitätstyp verfügbar sind. Fast alle diese Attribute werden in der Dropdownliste Bezeichner im Abschnitt Entitätszuordnung des Analyseregel-Assistenten angezeigt. Ausnahmen finden Sie in den Fußnoten.
Sie können bis zu drei Bezeichner für eine einzelne Entitätszuordnung verwenden. Starke Bezeichner reichen aus, um eine Entität eindeutig zu identifizieren, während schwache Bezeichner hierfür nur in Kombination mit anderen Bezeichnern geeignet sind.
Hier finden Sie weitere Informationen zu starken und schwachen Bezeichnern.
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache Bezeichner |
|---|---|---|---|
| Konto | Name FullName * NTDomain DnsDomain UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name und UPNSuffix AADUserId Sid ** Sid und Host** Name und Host und NTDomain ** Name und NTDomain ** Name und DnsDomain PUID ObjectGuid |
Name |
| Host | DnsDomain NTDomain HostName FullName * NetBiosName AzureID OMSAgentID OSFamily OSVersion IsDomainJoined |
HostName und NTDomain HostName und DnsDomain NetBiosName und NTDomain NetBiosName und DnsDomain AzureID OMSAgentID |
HostName NetBiosName |
| IP | Anschrift AddressScope |
Address ** Address und AddressScope ** |
|
| URL | Url | Url (bei absoluter URL)** | Url (bei relativer URL)** |
| Azure-Ressource (AzureResource) |
ResourceId | ResourceId | |
| Cloudanwendung (CloudApplication) |
AppId Name InstanceName |
AppId Name AppId und InstanceName Name und InstanceName |
|
| DNS-Auflösung (DNS) |
DomainName | DomainName und DnsServerIp+HostIpAddress | DomainName und HostIpAddress |
| Datei | Verzeichnis Name |
Directory und Name | |
| Dateihash (FileHash) |
Algorithmus Wert |
Algorithm und Value | |
| Malware | Name Kategorie |
Name und Category | |
| Process | ProcessId CommandLine ElevationToken CreationTimeUtc |
Host und ProcessID und CreationTimeUtc Host+ParentProcessId+ CreationTimeUtc und CommandLine Host und ProcessId und CreationTimeUtc und ImageFile Host und ProcessId und CreationTimeUtc und ImageFile+ Dateihash |
ProcessId und CreationTimeUtc und CommandLine (ohne Host) ProcessId und CreationTimeUtc und ImageFile (ohne Host) |
| Registrierungsschlüssel (RegistryKey) |
Hive Schlüssel |
Hive und Key | |
| Registrierungswert (RegistryValue) |
Name Wert ValueType |
Key und Name | Name (ohne Key) |
| Sicherheitsgruppe (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Mailbox | MailboxPrimaryAddress DisplayName Upn ExternalDirectoryObjectId RiskLevel |
MailboxPrimaryAddress | |
| E-Mail-Cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Bedrohungen Abfrage QueryTime MailCount IsVolumeAnomaly `Source` ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query und Source | |
| E-Mail (MailMessage) |
Recipient URLs Bedrohungen Sender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIP P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Betreff BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction DeliveryLocation Language * ThreatDetectionMethods * |
NetworkMessageId und Recipient | |
| Übermittlungs-E-Mail (SubmissionMail) |
NetworkMessageId Timestamp Recipient Sender SenderIp Subject ReportType SubmissionId SubmissionDate Absender |
SubmissionId und NetworkMessageId und Recipient und Submitter |
|
| Sentinel-Entitäten | Entitäten | Entitäten |
Fußnoten zur Tabelle:
- * Diese Bezeichner werden in der Liste der Bezeichner angezeigt, die in der Entitätszuordnung verwendet werden können, aber streng genommen sind sie nicht Teil des Entitätsschemas.
- ** Diese Bezeichner gelten nur unter bestimmten Bedingungen als starke Bezeichner. Folgen Sie den Links der Sternchen, um zu den geltenden Bedingungen für die jeweiligen Entitäten im Abschnitt Entitätsschemas zu gelangen.
- Kursiv formatierte Bezeichnernamen (ohne Sternchen) stehen für interne Entitäten. Das bedeutet, dass ein Entitätstyp andere Entitätstypen als Attribute aufweisen kann (weitere Informationen im Abschnitt Entitätsschemas). Folgen Sie dem Link des Bezeichners, um das eigene Schema der internen Entität anzuzeigen.
Entitätstypschemas
Im folgenden Abschnitt finden Sie eine ausführlichere Beschreibung der vollständigen Schemas für jeden Entitätstyp. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten. Das Kontoschema enthält beispielsweise einen Link zum Hostentitätstyp, da ein Attribut eines Benutzerkontos der Host ist, auf dem es definiert ist. Diese als Attribute verwendeten Entitäten werden als „interne Entitäten“ bezeichnet und können nicht als Bezeichner für die Entitätszuordnung verwendet werden. Sie sind jedoch sehr nützlich, um ein umfassendes Bild der Entitäten auf Entitätsseiten und im Untersuchungsdiagramm zu erhalten.
Hinweis
Ein Fragezeichen, das auf den Wert in der Spalte Type folgt, gibt an, dass das Feld NULL-Werte zulässt.
Liste der Entitätstypschemas
- Konto
- Host
- IP
- Malware
- Datei
- Process
- Cloudanwendung
- DNS-Auflösung
- Azure-Ressource
- Dateihash
- Registrierungsschlüssel
- Registrierungswert
- Sicherheitsgruppe
- URL
- IoT-Gerät
- Postfach
- E-Mail-Cluster
- Übermittlungs-E-Mail
- Sentinel-Entitäten
Konto
Entitätsname: Account
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'account' |
| Name | String | Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird. |
| FullName | -- | Kein Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten. |
| NTDomain | String | Der NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird (domäne\benutzername). Beispiele: Finance, NT AUTHORITY |
| DnsDomain | Zeichenfolge | Der vollqualifizierte DNS-Domänenname. Beispiele: finance.contoso.com |
| UPNSuffix | Zeichenfolge | Das Suffix des Benutzerprinzipalnamens für das Konto. In vielen Fällen ist das UPN-Suffix auch der Domänenname. Beispiele: contoso.com |
| Host | Entität (Host) | Der Host, der das Konto enthält, wenn es sich um ein lokales Konto handelt |
| Sid | String | Die Sicherheits-ID des Kontos |
| AadTenantId | Guid? | Die Microsoft Entra-Mandanten-ID, falls bekannt. |
| AadUserId | Guid? | Die Objekt-ID des Microsoft Entra-Kontos, falls bekannt. |
| PUID | Guid? | Die Benutzer-ID des Microsoft Entra-Passports, falls bekannt. |
| IsDomainJoined | Bool? | Gibt an, ob es sich bei dem Konto um ein Domänenkonto handelt |
| DisplayName | -- | Kein Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten. |
| ObjectGuid | Guid? | Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird. |
| CloudAppAccountId | String | Die AccountID in Warnungen vom CloudApp-Anbieter. Bezieht sich auf Konto-IDs in Drittanbieter-Apps, die in anderen Microsoft-Produkten nicht unterstützt werden. |
| IsAnonymized | Bool? | Gibt an, ob der Benutzername anonymisiert ist. Optional. Standardwert. false. |
| Stream | STREAM | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit dem jeweiligen Konto Optional. |
Starke Bezeichner einer Kontoentität
- Name und UPNSuffix
- AadUserId
- Sid
** Dieser Bezeichner ist stark, solange das Konto nicht eines der integrierten Konten ist, die im Hinweis unten aufgeführt sind. - Sid und Host
** Wenn das Konto eines der integrierten Konten ist, die im Hinweis unten aufgeführt sind, ist die Hostkomponente erforderlich, damit dieser Bezeichner als starker Bezeichner gilt. - Name und NTDomain
** Diese Kombination ist ein starker Bezeichner, wenn das Konto ein Domänenkonto ist, da NTDomain keine integrierte Domäne bzw. Arbeitsgruppe ist und sich vom Hostnamen unterscheidet. In diesem Fall handelt es sich auch ohne die Hostkomponente um einen starken Bezeichner. - Name und NTDomain und Host
** Die Hostkomponente ist erforderlich, um einen starken Bezeichner zu erstellen, wenn das Konto ein lokales Konto ist. Das bedeutet, dass die NTDomain eine integrierte Domäne bzw. Arbeitsgruppe ist. - Name und DnsDomain
- PUID
- ObjectGuid
Schwache Bezeichner einer Kontoentität
- Name
Hinweis
Wenn die Entität Konto mithilfe des Bezeichners Name definiert wird und der Wert „Name“ einer bestimmten Entität einer der folgenden generischen, häufig integrierten Kontonamen ist, wird diese Entität aus ihrer Warnung gelöscht.
- ADMIN
- ADMINISTRATOR
- SYSTEM
- ROOT
- ANONYMOUS
- AUTHENTIFIZIERTER BENUTZER
- NETZWERK
- NULL
- LOKALES SYSTEM
- LOCALSYSTEM
- NETZWERKDIENST
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Host
Entitätsname: Host
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'host' |
| IpInterfaces | Liste<Entität (Ip)> | Liste aller IP-Schnittstellen auf dem Hostcomputer |
| DnsDomain | Zeichenfolge | Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt. |
| NTDomain | Zeichenfolge | Die DNS-Domäne, zu der dieser Host gehört. |
| HostName | Zeichenfolge | Der Hostname ohne das Domänensuffix. |
| NetBiosName | Zeichenfolge | Der Hostname (vor Windows 2000). |
| IoTDevice | Entität (IoT-Gerät) | Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt). |
| AzureID | Zeichenfolge | Die Azure-Ressourcen-ID der VM, falls bekannt. |
| OMSAgentID | Zeichenfolge | Die OMS-Agent-ID, wenn der OMS-Agent auf dem Host installiert ist. |
| OSFamily | Enum? | Einer der folgenden Werte: |
| OSVersion | Zeichenfolge | Eine Freitextdarstellung des Betriebssystems. Dieses Feld soll bestimmte Versionen enthalten, die präziser als OSFamily sind, oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden. |
| IsDomainJoined | Bool | Gibt an, ob dieser Host zu einer Domäne gehört |
Starke Bezeichner einer Hostentität
- HostName und NTDomain
- HostName und DnsDomain
- NetBiosName und NTDomain
- NetBiosName und DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Schwache Bezeichner einer Hostentität
- HostName
- NetBiosName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
IP
Entitätsname: IP
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'ip' |
| Adresse | String | Die IP-Adresse als Zeichenfolge, Beispiel: 127.0.0.1 (entweder in IPv4 oder IPv6) |
| AddressScope | String | Der Name des Hosts, Subnetzes oder privaten Netzwerks für private, nicht globale IP-Adressen. NULL oder leer für globale IP-Adressen (Standard). |
| Location | GeoLocation | Der an die IP-Entität angefügte Geostandortkontext. Weitere Informationen finden Sie unter Anreichern von Entitäten in Microsoft Sentinel mit Geolocationdaten über die REST-API (öffentliche Vorschau). |
| Stream | STREAM | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen IP-Adresse Optional. |
Starke Bezeichner einer IP-Entität
- Adresse
** Die Adresse ist ein eindeutiger, starker Bezeichner, wenn die IP-Adresse eine globale Adresse ist. - Address und AddressScope
** Für private/interne, nicht globale IP-Adressen ist die AddressScope-Komponente erforderlich, um sie zu einem starken Bezeichner zu machen.
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Malware
Entitätsname: Schadsoftware
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'malware' |
| Name | String | Der vom Anbieter (detection?) zugewiesene Schadsoftwarename, z. B. Win32/Toga!rfn. |
| Kategorie | String | Die vom Anbieter (detection?) zugewiesene Schadsoftwarekategorie, z. B. Trojaner. |
| Dateien | Liste<Entität (File)> | Liste der verknüpften Dateientitäten, für die die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten. Weitere Details zur Struktur finden Sie in der Entität Datei. |
| Prozesse | Liste<Entität (Process)> | Liste der verknüpften Prozessentitäten, für die die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird. Weitere Details zur Struktur finden Sie in der Entität Prozess. |
Starke Bezeichner einer Schadsoftwareentität
- Name und Category
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Datei
Entitätsname: Datei
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'file' |
| Verzeichnis | Zeichenfolge | Der vollständige Pfad zur Datei. |
| Name | String | Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad). |
| AlternateDataStreamName | String | Der Dateidatenstromname im NTFS-Dateisystem (NULL für den Hauptdatenstrom). |
| Host | Entität (Host) | Der Host, auf dem die Datei gespeichert wurde. |
| HostUrl | Entität (URL) | URL, von der die Datei heruntergeladen wurde (Mark of the Web) |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows-Sicherheitszone, zu der die URL gehört (Mark of the Web) |
| ReferrerUrl | Entität (URL) | Referrer-URL der HTTP-Anforderung zum Herunterladen der Datei (Mark of the Web) |
| SizeInBytes | Long? | Die Größe der Datei in Bytes. |
| FileHashes | Liste<Entität (FileHash)> | Die Dateihashes, die dieser Datei zugeordnet sind. |
Starke Bezeichner einer Dateientität
- Name und Directory
- Name und FileHash
- Name und Directory und FileHash
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Prozess
Entitätsname: Prozess
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'process' |
| ProcessId | Zeichenfolge | Die Prozess-ID. |
| CommandLine | Zeichenfolge | Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird. |
| ElevationToken | Enum? | Das dem Prozess zugeordnete Erhöhungstoken. Mögliche Werte: |
| CreationTimeUtc | DateTime? | Die Zeit, zu der die Ausführung des Prozesses gestartet wurde. |
| ImageFile | Entität (File) | Kann die Dateientität inline oder als Verweis enthalten. Weitere Details zur Struktur finden Sie in der Entität Datei. |
| Konto | Entität (Account) | Das Konto, mit dem die Prozesse ausgeführt werden. Kann die Account-Entität inline oder als Verweis enthalten. Weitere Details zur Struktur finden Sie in der Entität Konto. |
| ParentProcess | Entität (Process) | Die übergeordnete Prozessentität. Kann Teildaten enthalten, z. B. nur die PID |
| Host | Entität (Host) | Der Host, auf dem der Prozess ausgeführt wurde. |
| LogonSession | Entität (HostLogonSession) | Die Sitzung, in der der Prozess ausgeführt wurde. |
Starke Bezeichner einer Prozessentität
- Host und ProcessID und CreationTimeUtc
- Host + ParentProcessId und CreationTimeUtc und CommandLine
- Host und ProcessId und CreationTimeUtc und ImageFile
- Host und ProcessId und CreationTimeUtc und ImageFile.FileHash
Schwache Bezeichner einer Prozessentität
- ProcessID und CreationTimeUtc und CommandLine (und kein Host)
- ProcessId und CreationTimeUtc und ImageFile (und ohne Host)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Cloudanwendung
Entitätsname: CloudApplication
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'cloud-application' |
| AppId | Int | Veraltet, verwenden Sie stattdessen das Feld „SaasId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind in der Liste der Cloudanwendungsbezeichner definiert. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten. |
| SaasId | Int | Ersetzt das veraltete Feld „AppId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind in der Liste der Cloudanwendungsbezeichner definiert. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten. |
| Name | String | Der Name der verwandten Cloudanwendung. Dieser Wert ist optional. |
| InstanceName | Zeichenfolge | Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet. |
| InstanceId | Int | Der Bezeichner der spezifischen Sitzung der Anwendung. Es handelt sich um eine nullbasierte laufende Zahl. Dieser Wert ist optional. |
| Risiko | AppRisk? | Damit können Sie Apps nach Risikobewertung filtern, sodass Sie sich z.B. auf die Überprüfung von Apps mit hohem Risiko konzentrieren können. Werte wie „Low“, „Medium“, „High“ oder „Unknown“ sind möglich. |
| Stream | STREAM | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen Cloud-App Optional. |
Starke Bezeichner einer Cloudanwendungsentität
- AppId (ohne InstanceName)
- Name (ohne InstanceName)
- AppId und InstanceName
- Name und InstanceName
Liste der Cloudanwendungsbezeichner
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
DNS-Auflösung
Entitätsname: DNS
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'dns' |
| DomainName | Zeichenfolge | Der Name des DNS-Eintrags, der der Warnung zugeordnet ist. |
| IpAddress | Liste<Entität (IP)> | Entitäten, die den aufgelösten IP-Adressen entsprechen. |
| DnsServerIp | Entität (IP) | Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst. |
| HostIpAddress | Entität (IP) | Eine Entität, die den DNS-Anforderungsclient darstellt. |
Starke Bezeichner einer DNS-Entität
- DomainName und DnsServerIp + HostIpAddress
Schwache Bezeichner einer DNS-Entität
- DomainName und HostIpAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Azure-Ressource
Entitätsname: AzureResource
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'azure-resource' |
| ResourceId | String | Die Azure-Ressourcen-ID der Ressource. Obligatorisch. |
| SubscriptionId | Zeichenfolge | Die Abonnement-ID der Ressource. |
| ActiveContacts | Liste<ActiveContact> | Aktive Kontakte, die der Ressource zugeordnet sind |
| ResourceType | String | Der Typ der Ressource. |
| ResourceName | String | Der Name der Ressource. |
Starke Bezeichner einer Azure-Ressourcenentität
- ResourceId
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Dateihash
Entitätsname: FileHash
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'filehash' |
| Algorithmus | Enumeration | Der Hashalgorithmustyp. Obligatorisch. Mögliche Werte: |
| Wert | Zeichenfolge | Der Hashwert. Obligatorisch. |
Starke Bezeichner einer Dateihashentität
- Algorithm und Value
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Registrierungsschlüssel
Entitätsname: RegistryKey
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'registry-key' |
| Hive | Enum? | Einer der folgenden Werte: |
| Schlüssel | Zeichenfolge | Der Registrierungsschlüsselpfad. |
Starke Bezeichner einer Registrierungsschlüsselentität
- Hive und Key
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Registrierungswert
Entitätsname: RegistryValue
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'registry-value' |
| Host | Entität (Host) | Der Host, zu dem die Registrierung gehört |
| Schlüssel | Entität (RegistryKey) | Die Registrierungsschlüsselentität. |
| Name | String | Der Name des Registrierungswerts. |
| Wert | Zeichenfolge | Als Zeichenfolge formatierte Darstellung der Wertdaten. |
| ValueType | Enum? | Einer der folgenden Werte: Werte sollten der Microsoft. Win32.RegistryValueKind-Enumeration entsprechen. |
Starke Bezeichner einer Registrierungswertentität
- Key und Name
Schwache Bezeichner einer Registrierungswertentität
- Name (ohne Schlüssel)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Sicherheitsgruppe
Entitätsname: SecurityGroup
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'security-group' |
| DistinguishedName | Zeichenfolge | Der Distinguished Name (DN) der Gruppe. |
| SID | String | Ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt |
| ObjectGuid | Guid? | Ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird |
Starke Bezeichner einer Sicherheitsgruppenentität
- DistinguishedName
- SID
- ObjectGuid
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
URL
Entitätsname: URL
| Feld | Typ | Beschreibung |
|---|---|---|
| type | String | 'url' |
| url | Uri | Eine vollständige URL, auf die die Entität verweist. Obligatorisch. |
Starke Bezeichner einer URL-Entität
- Url (** Dieser Bezeichner ist stark, wenn die URL eine absolute URL ist.)
Schwache Bezeichner einer URL-Entität
- Url (** Dieser Bezeichner ist schwach, wenn die URL eine relative URL ist.)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
IoT-Gerät
Entitätsname: IoTDevice
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'iotdevice' |
| IoTHub | Entität (AzureResource) | Die AzureResource-Entität, die den IoT Hub darstellt, zu dem das Gerät gehört. |
| DeviceId | Zeichenfolge | Die ID des Geräts im Kontext des IoT Hub. Obligatorisch. |
| DeviceName | Zeichenfolge | Der Anzeigename des Geräts. |
| Besitzer | List<String> | Die Besitzer des Geräts |
| IoTSecurityAgentId | Guid? | Die ID des Defender für IoT-Agents, der auf dem Gerät ausgeführt wird. |
| DeviceType | Zeichenfolge | Der Typ des Geräts („Temperatursensor“, „Kühlung“, „Windrad“ usw.). |
| DeviceTypeId | String | Eine eindeutige ID, um jeden Gerätetyp gemäß dem Gerätetypschema zu identifizieren, da der Gerätetyp selbst ein Anzeigename ist und in Vergleichen nicht zuverlässig ist Mögliche Werte: Unclassified = 0 Miscellaneous = 1 Network Device = 2 Printer = 3 Audio and Video = 4 Media and Surveillance = 5 Communication = 7 Smart Appliance = 9 Workstation = 10 Server = 11 Mobile = 12 Smart Facility = 13 Industrial = 14 Operational Equipment = 15 |
| Quelle | String | Die Quelle (Microsoft/Hersteller) der Geräteentität. |
| SourceRef | Entität (Url) | Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird. |
| Hersteller | Zeichenfolge | Der Hersteller des Geräts. |
| Modell | Zeichenfolge | Das Gerätemodell. |
| OperatingSystem | Zeichenfolge | Das Betriebssystem, das das Gerät ausführt. |
| IpAddress | Entität (IP) | Die aktuelle IP-Adresse des Geräts. |
| MacAddress | Zeichenfolge | Die MAC-Adresse des Geräts. |
| Nics | Entität (Nic) | Die aktuellen NICs auf dem Gerät |
| Protokolle | List<String> | Eine Liste der Protokolle, die vom Gerät unterstützt werden. |
| SerialNumber | Zeichenfolge | Die Seriennummer des Geräts. |
| Website | String | Der Standort des Geräts |
| Zone | String | Die Zone des Geräts innerhalb eines Standorts |
| Sensor | String | Der Sensor, der das Gerät überwacht |
| Wichtigkeit | Enum? | Einer der folgenden Werte: |
| PurdueLayer | String | Die Purdue-Schicht des Geräts |
| IsProgramming | Bool? | Gibt an, ob das Gerät als Programmiergerät klassifiziert wurde |
| IsAuthorized | Bool? | Gibt an, ob das Gerät als autorisiertes Gerät klassifiziert wurde |
| IsScanner | Bool? | Gibt an, ob das Gerät als Scannergerät klassifiziert wurde |
| DevicePageLink | Entität (Url) | Eine URL zur Geräteseite im Defender for IoT-Portal |
| DeviceSubType | String | Der Name des Geräteuntertyps |
Starke Bezeichner einer IoT-Geräteentität
- IoTHub und DeviceId
Schwache Bezeichner einer IoT-Geräteentität
- DeviceId -ID (ohne IoTHub)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Mailbox
Entitätsname: Postfach
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'mailbox' |
| MailboxPrimaryAddress | Zeichenfolge | Die primäre Adresse des Postfachs. |
| DisplayName | Zeichenfolge | Der Anzeigename des Postfachs. |
| Upn | Zeichenfolge | Der UPN des Postfachs. |
| AadId | String | Der Azure AD-Bezeichner des Postfachs des Benutzers |
| RiskLevel | RiskLevel? | Die Risikostufe dieses Postfachs. Mögliche Werte: |
| ExternalDirectoryObjectId | Guid? | Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität. Diese Eigenschaft ist jedoch für das Postfachobjekt auf der Office-Seite spezifisch. |
Starke Bezeichner einer Postfachentität
- MailboxPrimaryAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
E-Mail-Cluster
Entitätsname: MailCluster
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'mail-cluster' |
| NetworkMessageIds | IList<String> | Die E-Mail-Nachrichten-IDs, die Teil des Nachrichtenclusters sind. |
| CountByDeliveryStatus | IDictionary<String,Int> | Anzahl von E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung. |
| CountByThreatType | IDictionary<String,Int> | Anzahl von E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung. |
| CountByProtectionStatus | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Protection“ |
| CountByDeliveryLocation | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Delivery“ |
| Threats | IList<String> | Die Bedrohungen von E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| Abfrage | Zeichenfolge | Die Abfrage, mit der die Nachrichten des Nachrichtenclusters identifiziert wurden. |
| QueryTime | DateTime? | Die Abfragezeit. |
| MailCount | Int? | Die Anzahl der E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| IsVolumeAnomaly | Bool? | Gibt an, ob es sich um einen E-Mail-Cluster mit Volumenanomalie handelt |
| Quelle | String | Die Quelle des E-Mail-Clusters (Standardwert: O365 ATP) |
Starke Bezeichner einer E-Mail-Clusterentität
- Query und Source
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Entitätsname: MailMessage
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'mail-message' |
| Dateien | IList<Entity (File)> | Die Dateientitäten der Anlagen dieser E-Mail-Nachricht. |
| Recipient | Zeichenfolge | Der Empfänger dieser E-Mail-Nachricht. Im Fall mehrerer Empfänger wird die E-Mail-Nachricht kopiert, und jede Kopie weist einen Empfänger auf. |
| Urls | IList<String> | Die in dieser E-Mail-Nachricht enthaltenen URLs. |
| Threats | IList<String> | Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen. |
| Sender | Zeichenfolge | Die E-Mail-Adresse des Absenders. |
| SenderIP | Zeichenfolge | Die IP-Adresse des Absenders. |
| ReceivedDate | Datetime | Das Empfangsdatum dieser Nachricht. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID dieser E-Mail-Nachricht. |
| InternetMessageId | Zeichenfolge | Die Internetnachrichten-ID dieser E-Mail-Nachricht. |
| Antragsteller | Zeichenfolge | Der Betreff dieser E-Mail-Nachricht. |
| AntispamDirection | Enum? | Die Direktionalität dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryAction | Enum? | Die Übermittlungsaktion dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryLocation | Enum? | Die Übermittlungsort dieser E-Mail-Nachricht. Mögliche Werte: |
| CampaignId | String | Der Bezeichner der Kampagne, in der diese E-Mail-Nachricht vorhanden ist. |
| SuspiciousRecipients | IList<String> | Die Liste der Empfänger, die als verdächtig erkannt wurden |
| ForwardedRecipients | IList<String> | Die Liste aller Empfänger in der weitergeleiteten E-Mail |
| ForwardingType | IList<String> | Der Weiterleitungstyp der E-Mail, z. B. SMTP, ETR usw. |
Starke Bezeichner einer E-Mail-Nachrichtenentität
- NetworkMessageId und Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Übermittlungs-E-Mail
Entitätsname: SubmissionMail
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | String | 'SubmissionMail' |
| SubmissionId | Guid? | Die Übermittlungs-ID. |
| SubmissionDate | DateTime? | Gemeldetes Datum und die Uhrzeit dieser Übermittlung. |
| Absender | Zeichenfolge | Die E-Mail-Adresse des Übermittlers. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört. |
| Timestamp | DateTime? | Der Zeitstempel für den Nachrichtempfang (E-Mail). |
| Recipient | Zeichenfolge | Der Empfänger der E-Mail. |
| Sender | Zeichenfolge | Der Absender der E-Mail. |
| SenderIp | Zeichenfolge | Die IP-Adresse des Absenders. |
| Antragsteller | Zeichenfolge | Der Betreff der Übermittlungs-E-Mail. |
| ReportType | Zeichenfolge | Der Übermittlungstyp für die angegebene Instanz. Mögliche Werte sind „Junk“, „Phish“, „Malware“ oder „NotJunk“. |
Starke Bezeichner einer SubmissionMail-Entität
- SubmissionId, Submitter, NetworkMessageId, Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Sentinel-Entitäten
| Feld | Typ | BESCHREIBUNG |
|---|---|---|
| Entitäten | String | Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste ist die Spalte Entitäten aus dem SecurityAlert-Schema (siehe Dokumentation). |
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle „Entitätsbezeichner“
Cloudanwendungsbezeichner
In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. Der App-ID-Wert wird als Entitätsbezeichner für die Cloudanwendung verwendet.
| App-ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Feld |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | cornerstone ondemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Workday |
| 13843 | LivePerson |
| 13979 | Concur |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive for Business |
| 15782 | Citrix ShareFile |
| 17152 | Amazon |
| 17865 | Ariba Inc |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender für Cloud-Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Slack |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype for Business |
| 25988 | Google Docs |
| 26055 | Microsoft 365 Admin Center |
| 26060 | OPSWAT Gears |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics 365 |
| 26318 | Microsoft Entra ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS Proxy Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Nächste Schritte
In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.
Informieren Sie sich über Entitäten und die Entitätszuordnung.